> Tech > Problématiques récurrentes

Problématiques récurrentes

Tech - Par iTPro - Publié le 24 juin 2010
email

Il existe deux problèmes qu’on rencontre pour la plupart des déploiements. Ils sont issus du fonctionnement même de la PKI et des relations de confiance qui lient un utilisateur ou une application à l’autorité de certification.

Tant qu’un message signé ou chiffré reste à l’intérieur de l’entreprise, on

Problématiques récurrentes

est sûr que tout le monde fait confiance à l’autorité et que les certificats de tous les utilisateurs sont bien connus. Mais qu’en est-il en dehors de l’entreprise ?

Signature d’un message Dans la mesure où votre propre clé privée est utilisée, il est toujours possible de signer un message, qu’il soit destiné à l’intérieur ou à l’extérieur de l’entreprise.

En revanche, la signature du message ne pourra être vérifiée que par les personnes faisant confiance à l’autorité ayant délivré notre certificat. Autrement dit, personne en dehors de l’entreprise.

Il existe quatre possibilités pour résoudre ce problème :
• Se procurer des certificats auprès d’une autorité publique à qui tout le monde fait confiance (Thawtes, Verisign ou un courtier comme TBS-Internet). C’est bien évidement la solution qui sera privilégiée.
• Ne pas envoyer de messages signés en dehors du périmètre de l’entreprise.
• Si on souhaite échanger des messages signés uniquement avec un nombre restreint de partenaires, il est possible de mettre en place des relations de confiance inter-entreprise (attention : aucun lien avec une relation d’approbation AD)
• Dernières possibilités mais qui n’est que très rarement envisageable : devenir sa propre autorité de certification publique. Il faut pour cela être certifié « web-trust ». Le ticket d’entrée s’élevant à quelques centaines de milliers de dollars, il n’y a guère que de très grosses structures pour se le permettre.

Chiffrement d’un message La problématique est sensiblement différente dans le cas de l’encryption puisque la difficulté se trouve dans la connaissance du certificat du destinataire. Dans une entreprise, avec une autorité intégrée à l’Active Directory, tout le monde connaît le certificat de tout le monde.

Mais il n’existe pas d’annuaire global pour toutes les entreprises.

Il est possible de régler ce problème soit au niveau utilisateur émetteur, soit au niveau de l’organisation de l’émetteur. Dans les deux cas, il s’agit de créer un contact (dans le carnet d’adresse de l’émetteur ou dans l’Active Directory de l’organisation de l’émetteur) et de lier le certificat du destinataire à ce contact.

Il faut donc mettre en place une solution d’automatisation de ces processus de synchronisation. Cette solution pourra par exemple se baser sur Microsoft Identity Integration Feature Pack ou Microsoft Identity Integration Server.

Téléchargez gratuitement cette ressource

IBMi et Cloud : Table ronde Digitale

IBMi et Cloud : Table ronde Digitale

Comment faire évoluer son patrimoine IBMi en le rendant Cloud compatible ? Comment capitaliser sur des bases saines pour un avenir serein ? Faites le point et partagez l'expertise Hardis Group et IBM aux côtés de Florence Devambez, DSI d'Albingia.

Tech - Par iTPro - Publié le 24 juin 2010